新たなセキュリティ問題を警戒せよ--アナリストらが警鐘 - (page 2)

新展開を見せるフィッシング

　多くのアナリストが、フィッシング攻撃もまた、さらに数が増え精巧になっていくと予想している。

　セキュリティ企業Trend Microでウイルス対策エンジニアを務めるDavid Sancho氏は、最近ドイツで起こった、電力会社から送信されたように偽装した電子メールを用いた攻撃を例に挙げた。この偽の電子メールは、本物の電力会社が行っているのと同様に、添付のPDFドキュメントをクリックして開き、電気料金を確認するよう、受信者に指示するものだったという。だが、「.pdf.exe」という拡張子が付与されたこの偽の添付ドキュメントは、実はユーザーのマシンにトロイの木馬をインストールするための仕掛けだったのである。

　「このトロイの木馬がインストールされると、あらゆるインターネット接続やウェブページの閲覧、銀行へのアクセスなどが監視下に置かれ、その情報がトロイの木馬の製作者に送信される。偽のサーバを用意しなくてよいという点からも、非常にずるがしこい方法だと言える」（Sancho氏）

　こうした新たな脅威への対策については、セキュリティおよび無線業界でも意見が分かれている。F-SecureのHypponen氏は、一部の銀行がセキュリティ対策としてワンタイムパスワードを採用しているが、フィッシング業者は早晩これをクラッキングする方法を見つけるだろうと話す。例えば、ユーザーが銀行から送られてきた認証コードの一覧表を持っている場合には、次のような攻撃が起こるかもしれない。

　「標的となるユーザーを偽の銀行サイトにログインするよう誘導し、認証コードを入力させる。偽の銀行サイトがそのワンタイムパスワードを使用して正規の銀行サイトへログインし、預金を動かす。偽サイトはユーザーのマシンへ再び接続し、問題が起こったので再度コードを入力するよう指示する」（Hypponen氏）